UnderForge of Lack

そういえば
スクリプト無効は万人にオススメできるのか
という命題の話が出ていました。

万人にお勧めってのは意味不明ですが・・

私個人の意見で言えば
「JavaScriptを使用しなければ見れないサイト」なんか行かない（笑）
IFRAME埋め込みを常用してるようなサイトには近寄らない
って感じでしょうか？

当然、業務用途や取引先のCMSなんかは、当然自分の認証で許可するわけですから全く問題は無いはずです。

何度も話に出していますが、セキュリティ的な懸念がある際に、振り子を安全側に振るか利便性に振るか、というのは個人の自由です。
しかし、「JavaScriptをOnにしても安全ですよ？」と言えない事例が多すぎるため、自分が信頼するサイトのみJavaScriptを（通常はそのときだけ）許可するようにし、iFrameに関しては飛び先をチェックして、そこだけ認可することにしています。

もちろん、常に全部OFFにしてしまうのは問題が多いので Firefox+NoScriptの組み合わせを推奨しています。
というか、会社でインターネットアクセスするときは必須だと思ってますケドね？
TPO 的な問題なんじゃないかな？

NoScriptを入れないと行けないようなサイトに会社からアクセスするなよ
ごもっとも・・・

------------------
RequestPolicy に関しても質問を受けましたが、まだ使ってみていません。
（出張先なのであんまり妙なアドオンを入れられない・笑）
いや、すでに入れてるだろ！？

ホワイトリストが使えるなら NoScriptの代用になりそうですが、それって変える意味があるかどうか？は謎ですね（苦笑）

-----------------
ネタ元を検索して、あの方の話だったことに気がつきました

ていうか・・Macでやってる人と Win上の話じゃボタンが３段くらい掛け違ってるようなキガスル
ついでに言えば、Vista(or Win7)でやってる人とXPの人でもかなり違います。
そうした土台の話を抜きにしてセキュリティリスクの話をしてもしょうがないと思うけどどうなんでしょうね？

ちなみに、出張先でヤバいとこを踏むときには Linux上でやってますとも・・ハイ。

Appleだってやればできる子なんです。

About the security content of QuickTime 7.6.2


About the security content of iTunes 8.2


深刻な脆弱性（と思われるもの）が指摘されていた QuickTime 周辺ですが、本体のほうは修正が入ったようです。

CVE-2009-0010
Integer underflow in QuickDraw Manager in Apple Mac OS X 10.4.11 and 10.5 before 10.5.7 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted PICT image that triggers a heap-based buffer overflow.

バルマーさんのほうはマダっぽいですね（笑）

いや・・感染サイトがちっとも見当たらないけど、ニュースではどんどん増えてるような様子なので、何が何だかわかりません

"Beladen" website compromises cropping up
A mass injection attack similar, but unrelated, to Gumblar has infected more than 40,000 websites, according to new research from Websense Security Labs.

増えてるし・・

古いブラウザの脆弱性を突いてトロイの木馬を埋め込もうとし、またポップアップしてくる広告で偽のセキュリティソフトを購入させようとしているようです。

Websenseの話では、現在のところ、「どの脆弱性」を悪用したものか特定できていません。しかし、攻撃者はそれら感染したWebSiteの何らかの穴を突いて、不正なiframeと、難読化されたJavaScriptコードを埋め込んでいます。恐らく、特定の BlogやforumのCMSか、あるいはWebSiteの構築に使用されたFrameworkの脆弱性の悪用だと思われます。

この悪意コードの結果、感染サイトへの訪問者は２度リダイレクションさせられます。一つは攻撃者の解析ログへ、そしてMalwareが散布されている beladenへ跳ばされます。リダイレクションは瞬きする間もなく完了します。

Beladen siteに跳ばされた時、FirefoxやInternet Explorerの最新版を使用していなければ、ユーザの動作確認無しにマルウェアがダウンロードされ、実行されます。


beladen.net
応答ありません・・・

beladen.net の診断ページ
このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に 3280 個のドメインを感染させています。

---------------
Beladen.net Q&A

翻訳は時間切れ・・

斜め読みでは
Baleden.netは３つのNameserverに登録されていますが、有効なレコード情報が欠落しています。Beladen.netは逆引きを localhost(127.0.0.1)に設定しているため、逆引きをできなくしています。

現時点で確認できることは、2009年５月の１・２週における統計で、Gumblarによる攻撃がScanSafeのWeb Malware Blockの実に37%を占めていますが、Beladen は .02% に過ぎませんし、５月全体でも .03%でしかありません。

別の方法で Beladen 感染の「インパクト」を判断してみましょう。
15,000席の（Scansafe顧客の）Web観衆が、５月の月間で、一週間に 500ものMalwareサイトに遭遇しました。最初の２週間で Gumblarに感染したサイトに遭遇したケースは 250にも上りました。しかしながら、15,000の観衆の中で Beladen 感染サイトに遭遇したのはたった１例で、しかも遭遇の前にブロックされていました。

Beladenに感染すると、FTPアカウントを窃取されるのではないかと思われます。これは多くの感染サイトが初期段階で陥る実害です。Beladenの感染サイトは Linux上のApacheで動作していましたが、個々のサイトで使用されているプラットフォームは異なるでしょう。

大量の感染サイトがあるとメディアでは報告されているますが、ScanSafeのTraffic Logにはこれらの実態が確認できません。
Google Analyticsと誤解させるようなサイトは、Beladenの関連なのか？　に関してですが、これらのサイト群はたまにMalwareの散布に使用されることもありますが、ほとんどは Malware散布者のアクセス解析に使用されているとみられています。これらのサイト群が Beladen の犯人と同一のものかどうか？という明確な判断を下せるほど、有効な情報がありません。


誤訳してたらごめんなさい

Google Analytics のスペルがややこしい！　ということなんですかね？（苦笑）

とりあえず、 google ana... のミスリードを誘うLink群は、攻撃者との明確な連携はないかもしれません。が、塞いでおくに越したこともありません。